Описание предприятия

Общество с ограниченной ответственностью «MYPROGSCOMPANY» (далее MP) является ведущим учреждением в крае по реализации эколого-биологической и туристско-краеведческой информационно-просветительской деятельности. В связи с этим информация, циркулирующая в MP представляет собой повышенный интерес для злоумышленников.

Предприятие включает в себя 6 структурных подразделений, представленных на рисунке 1:

- кабинет директора (1);

- актовый зал (2);

- холл (3);

- информационно-аналитический отдел (4);

- отдел методической работы (5);

-бухгалтерия и отдел кадров (6).

Предусмотрена комната для ведения переговоров (7).

Ведущую роль по обеспечению информационной безопасности играет информационно-аналитический отдел, сотрудники которого занимаются обеспечением функционирования компьютерного парка МР, разработкой мероприятий по предотвращению несанкционированного доступа к информации, разработкой специализированного ПО и пр.

Общая характеристика здания

MP расположено на втором этаже двухэтажного здания, общей площадью 348 м². Здание расположено на территории двора, огражденного металлическим забором высотой 2 метра.

С северной стороны здания через проезжую часть (120м. до здания, до проезжей части 30м.) расположено 12-этажное жилое здание, с южной – находится пустырь (200м.), с восточной и западной - 2-х этажные здания (на расстоянии 50м.), где расположены офисы типографии «Радуга» и агентства недвижимости «Стройинвестиции» соответственно.

Вход на второй этаж отдельный от входа на первый, представляет собою металлическую лестницу, расположенную с южной стороны здания. На входе расположен контрольно-пропускной пункт (вход по пропускам).

Смежные помещения справа, слева и вверху отсутствуют. Внизу располагается офис компании «Неостел», занимающейся производством систем видеонаблюдения.

Наружные стены здания железобетонные толщиной 400 мм, в каждом кабинете на данной стене укреплены по 2 чугунные батареи, соединенные металлическими трубами с трубами в боковых стенах. По периметру комнаты для переговоров (7) стена имеет такую же конструкцию.

Смежные стены внутри здания также железобетонные, толщина их 150 мм.

Потолок представляет собой железобетонную плиту толщиной 400 мм, окрашенную водо-эмульсионной краской. Пол – железобетонная плита толщиной 400 мм, покрыт паркетом и ковролином.

Имеется 7 дверей. Из них:

- в кабинете директора, переговорной комнате и информационном-аналитическом отделе установлены металлические щитовые двери с доводчиком и кодовой механической защита;

- в остальных кабинетах установлены типовые щитовые двери без доводчика, закрываемые механическим замком.

В кабинетах 1, 2, 5 установлено по 2 окна двухрамных, обращенных на улицу согласно рисунка 1, с толщиной стекла 5 мм. В кабинетах 3, 4, 6, 7 окна отсутствуют.

Предметы мебели и интерьера

Во всех кабинетах, кроме 7-го расположены:

- книжные шкафы со стеклянными дверцами и 4-мя полками (общее количество – 15 шт.);

- стулья деревянные полужесткие (общее количество – 25 шт.);

- компьютерные столы с подставкой для монитора и процессора, двумя закрывающимися на замок шкафчиками (общее количество -11 шт).

В кабинетах 1, 3, 4, 6 расположены сейфы напольные с механическим кодовым замком.

В кабинете 2 расположен а доска-экран размерами 2000х1200 мм и приставной стол, который имеет под столешницей полку.

Кабинет 7 оснащен деревянным круглым столом заседаний (рассчитан на 15 человек).

Радиоэлектронные средства и электрические приборы

Каждое рабочее место оборудовано:

- компьютером (системный блок, монитор, клавиатура, мышь, колонки, usb-удлинитель), расположенном на компьютерном столе;

- телефоном внутренней АТС.

В кабинете 3 на столе секретаря расположен телефон городской АТС.

В каждом кабинете установлено:

- 2 громкоговорителя оповещения;

- 2 пожарных извещателя, которые расположены на потолке;

- люстры из 7 рожков.

В кабинете 4 расположены: коммутатор, серверная станция.

Средства коммуникаций

Розетки электропитание спаренные расположены по две у каждого рабочего места сотрудников. В кабинете 7 розетки электропитания отсутствуют. Электропроводка скрыта в стенах.

Кабели телефонных линий закреплены на стене (имеется выход наружу). Телефонные розетки установлены у каждого рабочего места.

Кабель локальной сети закреплен на стене, помещен в кабель-канал.

Шлейф пожарной безопасности монтирован на потолке.

Нормативная база в сфере информационной безопасности

В уставе определены положения об организации отдела, ответственного за реализацию политики информационной безопасности в MP.

Концепция обеспечения информационной безопасности организации.

Правила обеспечения информационной безопасности при работе пользователей в корпоративной сети организации.

Политика и Регламент резервного копирования и восстановления данных

Политика обеспечения безопасности при взаимодействии с сетью Интернет.

Антивирусная политика.

Инструкция по защите от компьютерных вирусов.

Стандарт на антивирусное ПО.

Политика обеспечения безопасности платежных систем организации.

Парольная политика.

Политика управления доступом к ресурсам корпоративной сети.

Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.

Политика установки обновлений программного обеспечения.

Процедура планирования и реализации превентивных и корректирующих мер по обеспечению ИБ.

Руководство по защите конфиденциальной информации.

Перечень сведений, составляющих конфиденциальную информацию.

Регламент использования мобильных устройств.

Регламент работы с цифровыми носителями конфиденциальной информации.

Политика информационной безопасности.

Политика инвентаризации и реестр информационных активов.

Политика обеспечения физической безопасности помещений и оборудования.

Положение об информационно-аналитическом отделе.

Положение об организации защиты персональных данных.

Положение об организации защиты коммерческой тайны.

Циркулирующая информация

Сведения, содержащие конфиденциальную информацию в MP можно классифицировать по 2-м основным направления, представленным на рисунке 2.

Рисунок 2 - Результаты структурирования информации, циркулирующей на предприятии

Таблица 1 Результаты структурирования информации, циркулирующей на предприятии

№ элемента информации	Наименование элемента информации	Гриф конфиденциальности информации	Цена информации	Наименование источника информации	Местонахождение источника информации
1	2	3	4	5	6
Сведения конфиденциального характера
Сведения в области организационно-управленческой деятельности
111	Сводные сведения о реализации программ управления производства «MYPROGSCOMPANY»	КТ	500000	Отчетная документация	Шкаф, 1
112	Структура построения корпоративной локальной вычислительной сети (ЛВС) Организации.	КТ	50000	Положение о ЛВС	6
113	Принципы реализации построения систем автоматизированного доступа к рабочему месту сотрудника удаленно.	КТ	200000	Инструкция об организации удаленного доступа к рабочему месту сотрудника	4
114	Сведения о планируемых изменениях в структуре управления Организации.	КТ	100000	План по развитию и оптимизации деятельности	1
115	Сведения о цели командирования директора организации и ее сотрудников.	КТ	100000	Командировочные листы	6
Сведения о финансово-экономической деятельности
121	Бизнес-планы организации.	КТ	120000	Документ	6
122	Сведения об остатках на счетах Организации в банках.	КТ	50000	Выписка из расчетного счета	6
123	Сведения о путях и способах получения информации из бухгалтерской автоматизированной базы данных.	КТ	180000	Инструкция об организации автоматизированной бухгалтерской базы	4
124	Сведения, связанные с функционированием системы «Банк-Клиент».	ДСП	120000	Электронные отчеты	6
125	Сведения о страховании оборудования автоматизации.	КТ	50000	Выписки из ФСС	6
126	Сводные сведения	КТ	500000	Набор документов о деятельности предприятия	1
Сведения в области науки и технологий
131	Сведения, содержащие прогнозные оценки научно-технического прогресса в области web-программирования и разработки программного обеспечения.	КТ	100000	Анализ развития научно-технического прогресса в области web-программирования	4, сейф
132	Сведения, раскрывающие существо реализации алгоритмов в создании принципиально нового.	КТ	300000	Программный код	4, 1
Сведения в области научно-технического сотрудничества
141	Сведения о принципах построения управления единой системой дистанционного обучения.	КТ	300000	Инструкция	4, сейф
142	Сводные сведения по анализу состояния используемой техники и перспективах применения новых технологических процессов в технике.	КТ	150000	Отчет о состоянии используемой техники и перспективах применения новых технологических процессов в технике	4
143	Сведения о планируемых закупках на сумму, превышающую 250 (двести пятьдесят) тысяч рублей.	КТ	500000	План закупок	6
Сведения о социально-бытовых отношениях
151	Персональные данные работников.	ПДн	300000	Личные дела сотрудников	6, металлический шкаф ОК
152	Сведения о содержании трудовых договоров сотрудников.	ПДн	250000	Личные дела сотрудников	6, металлический шкаф ОК
Сведения о поддержании надлежащего состояния непрерывного процесса деятельности
161	Сведения о методах и способах реализации обеспечения информационной безопасности в корпоративной ЛВС Организации.	КТ	450000	Набор документов	4
162	Информация и документы, в которых рассматриваются вопросы защиты информации, создаваемой, обрабатываемой и хранящейся в средствах вычислительной техники, а также циркулирующей в ЛВС Организации.	КТ	300000	Сводные документы	4
163	Сводные сведения о техническом состоянии линий связи.	КТ	300000	Отчет	4

Проанализируем возможные пути проникновения злоумышленников на территорию здания и результаты анализа занесем в таблицу 2.

Таблица 2 – Анализ возможных путей проникновения злоумышленников на территорию здания

№ элемента информации	Путь проникновения злоумышленника	Оценка реальности пути	Цена информации	Величина угрозы	Ранг угрозы
1	2	3	4	5	6
Сведения конфиденциального характера
Сведения в области организационно-управленческой деятельности
111	Преодоление забора – вход по лестнице через парадную дверь – вскрытие двери кабинета 1 – вскрытие металлического сейфа	6	500000	30	1
112	Преодоление забора – вход по лестнице – вскрытие двери 6 – вскрытие сейфа	6	50000	3	6
113	Преодоление забора – проникновение через окно 5 кабинета – вскрытие двери 4	5	200000	10	4
114	Преодоление забора – проникновение – через окно 1 кабинета – взлом сейфа	2	100000	2	7
115	Преодоление забора – проникновение на 1-й этаж – деформация потолка/пола у 6 кабинета – взлом двери шкафа	4	100000	4	6
Сведения о финансово-экономической деятельности
121	Преодоление забора – проникновение на крышу здания – деформация крыши – чердак – вентиляция	5	120000	6	5
122	Подключение к линиям связи за пределами территории – попытка подмены сервера	3	50000	1,5	7
123	Преодоление забора - подключение к линиям связи через wi-fi путем взлома – копирование информации	5	180000	9	4
124	Поддельное удостоверение – проход через КПП – вход в 6 кабинет – социальная инженерия	7	120000	8,4	4
125	Поддельное удостоверение – проход через КПП – вход в 6 кабинет – маскировка под агента страховой компании	6	50000	3	6
126	Преодоления забора с воздуха – деформация окна 1 кабинета – взлом сейфа	5	500000	25	1
Сведения в области науки и технологий
131	Вход на территорию 2 кабинета как участника семинара – преодоление двери в 5 кабинет – взлом двери в 4 кабинет – взлом сейфа	4	100000	4	6
132	Проникновение на первый этаж здания – использование вентиляционного прохода для попадания в кабинет 4	5	300000	15	3
Сведения в области научно-технического сотрудничества
141	Преодоление забора – установка взрывного устройства у стены кабинета 4 – проникновение через дыру – изъятие сейфа	4	300000	12	4
142	Подключение к выделенной линии у провайдера – взлом ПК со сведениями – изъятие электронных документов	6	150000	9	4
143	Проникновение через крышу здания в холл 3 у центрального входа – взлом двери в 6 кабинет – взлом сейфа	6	500000	30	1
Сведения о социально-бытовых отношениях
151	Преодоление забора – вход под предлогом общения по вопросам – воровство ключей и создание дубликатов – проникновение через чердак	5	300000	15	3
152	Преодоление забора – вход под предлогом общения по вопросам – воровство ключей и создание дубликатов – проникновение через лестницу 1 этажа	6	250000	15	3
Сведения о поддержании надлежащего состояния непрерывного процесса деятельности
161	Подкуп сотрудника	5	450000	22,5	2
162	Шантаж сотрудника	6	300000	18	3
163	Подключение к линиям связи за пределами контролируемой территории – использование ПО для прозвонки линий связи	7	300000	21	2

ЛБ – 3

Таблица 3 – Анализ возможных путей проникновения злоумышленников на территорию здания

№ элемента информации	Путь утечки информации	Оценка реальности канала	Источник сигнала	Вид канала	Цена информации	Величина угрозы	Ранг угрозы
1	2	3	4	5	6	7	8
Сведения конфиденциального характера
Сведения в области организационно-управленческой деятельности
111	Документ – окно кабинета – окно противоположного здания – оптический прибор злоумышленника	5	Отчетная документация	Оптический	500000	25	2
112	ЛВС предприятия – сетевое оборудование – оборудование злоумышленника	8	Положение о ЛВС. ЛВС	Радиоэлектронный	50000	3	6
113	Источник акустического канала – опасный сигнал за пределы контролируемой зоны	5	Сотрудник	Радиоэлектронный	200000	10	4
114	Источник акустического сигнала – воздушная среда помещения – окно помещения	3	Директор	Акустический	100000	3	6
115	Источник акустического сигнала – воздушная среда – кабинет 3	6	Директор	Акустический	100000	5	6
Сведения о финансово-экономической деятельности
121	Бухгалтер - пол в соседнее учреждение - злоумышленник	3	Озвучивание документа бухгалтером	Акустический	120000	3,6	6
122	Кабель-внутренней АТС – оборудование злоумышленника	5	Выписка из расчетного счета	Радиоэлектронный	50000	2,5	7
123	Телевизионное закладное устройство – радиоканал – телевизионный приемник злоумышленника	4	Инструкция об организации автоматизированной БД	Оптический	180000	7,2	5
124	Запись сотрудниками на неучтенных листах бумаги - злоумышленник	7	Электронные отчеты	Материально-веществен-ный	120000	9,4	4
125	Запись сотрудниками на неучтенных листах бумаги - злоумышленник	7	Выписка из ФСС	Материально-веществен-ный	50000	3,5	6
126	Передатчики акустических и акустических сигналов – приемник - злоумышленник	5	Сводные сведения, кабинет директора	Радиоэлектронный	500000	25	2
Сведения в области науки и технологий
131	Источник сигнала – воздухопровод – закладное устройство – приемник - злоумышленник	4	Сотрудник	Акустичекий	100000	4	6
132	ЛВС предприятия – сетевое оборудование – оборудование злоумышленника	7	Серверная станция	Радиоэлектронный	300000	21	2
Сведения в области научно-технического сотрудничества
141	Источник опасного сигнала – опасный сигнал за пределы контролируемой зоны	6	Инструкция	Радиоэлектронный	300000	18	3
142	Подключение к выделенной линии у провайдера – взлом ПК со сведениями – изъятие электронных документов	6	Отчет	Радиоэлектронный	150000	9	5
143	Запись сотрудниками на неучтенных листах бумаги - злоумышленник	7	Бухгалтер	Материально-веществен-ный	500000	35	1
Сведения о социально-бытовых отношениях
151	Побочные электромагнитные излучения, акустические вещания – приемник - злоумышленник	5	Личные дела сотрудников	Радиоэлектронный, акустический	300000	15	3
152	Передатчики акустических и акустических сигналов – приемник - злоумышленник	5	Личные дела сотрудников	Радиоэлектронный	250000	7,5	5
Сведения о поддержании надлежащего состояния непрерывного процесса деятельности
161	Запись сотрудниками на неучтенных листах бумаги - злоумышленник	7	Набор документов	Материально-вещественный	450000	31,5	1
162	Видео-регистрирующее оборудование в вентиляционном проходе – приемник - злоумышленник	4	Сводные документы	Оптический	300000	12	4
163	ЛВС предприятия – сетевое оборудование – оборудование злоумышленника	7	Отчет	Радиоэлектронный	300000	21	2

ЛБ – 4

1. Разработать Примерный перечень исходных данных необходимых для анализа состояния дел по вопросам обеспечения информационной безопасности, разработки предложений по совершенствованию безопасности, разработки предложений по совершенствованию системы защиты и организационно-распорядительных документов.

Общая характеристика Организации

1. Нормативно-правовая основа деятельности Организации (название, назначение, статус, подчиненность, структура, задачи, функции организации как объекта информатизации, взаимодействие с другими организациями и т.п.).

2. Учредительные документы.

Общая характеристика АС Организации

1. Название, назначение, нормативно-правовая основа  создания и эксплуатации автоматизированной системы (АС) Организации (конкретные документы).

2. Действующие ведомственные и внутренние нормативно-методические и организационно-распорядительные документы по вопросам создания (развития) и применения АС.

3. Перечень субъектов правоотношений при использовании АС и организации ее защиты. Их основные интересы субъектов всфере обеспечения информационной безопасности.

4. Состав, структура АС, размещение, основные функции и режимы работы подсистем АС.

5. Виды информационных связей АС с внешними организациями, режимы и способы взаимодействия. Документы, регламентирующие порядок взаимодействия и разрешения связанных с обменом информацией конфликтов.

6. Состав средств вычислительной техники АС (серверов, рабочих станций).

7. Перечень используемого в системе прикладного и системного программного обеспечения.

8. Характеристика телекоммуникационной системы Организации, описание топологии сетей, состава и характеристик используемых каналов и телекоммуникационных средств, перечень используемых протоколов обмена и сетевых служб. Наличие и способы подключения к сети Internet и другим сетям общего назначения.

9. Технологические схемы обработки, хранения и передачи информации (данных, документов) в подсистемах АС, информационные потоки (входящие, исходящие и циркулирующие внутри) и требования к их защите.

10. Категории информационных и других подлежащих защите ресурсов АС (с привязкой к функциям и задачам) и требования к обеспечению их конфиденциальности, целостности и доступности.

11. Основные категории пользователей и обслуживающего АС персонала, их права по доступу к защищаемым ресурсам АС (для разных видов доступа и режимов функционирования АС). Уровень подготовки пользователей и квалификации обслуживающего АС персонала. 

12. Порядок допуска сотрудников подразделений к работе с АС и наделения их полномочиями по доступу к ее ресурсам(разрешительная система).

13. Технологические инструкции пользователей, администраторов ЛВС, баз данных и приложений.

14. Порядок приобретения, разработки, внедрения, модернизации, использования и сопровождения программных средств.

15. Порядок приобретения, внедрения, эксплуатации и ремонта технических средств вычислительной техники и телекоммуникации.

16. Другие особенности АС, влияющие на ее защищенность.

Характеристика существующей системы обеспечения информационной безопасности в АС

1. Действующие ведомственные и внутренние нормативно-методические и организационно-распорядительные документы по вопросам обеспечения информационной безопасности АС (определяющие перечень конфиденциальных сведений Организации и режим их защиты,  регламентирующие порядок работы с конфиденциальной информацией, в том числе с использованием средства втоматизации, порядок учета, хранения и использования носителей защищаемой информации, архивирования входных и выходных данных). Форма договора(контракта) с сотрудниками Организации (соглашения о неразглашении конфиденциальных сведений и соблюдении требований по работе с АС)

2. Требования к информационной безопасности в АС, необходимый класс и категория защищенности АС(в соответствии с РД Гостехкомиссии). Требования по защите от утечки информации по техническим каналам (ПЭМИН, акустический, визуальный и т.д.),

3. Организационная структура системы защиты. Характеристика службы технической защиты информации (наличие, подчиненность, штаты, задачи, оснащение, планы развития). Наличие и функции внештатных ответственных за информационную безопасность в подразделениях и на технологических участках.

4. Перечень, характеристики и зоны ответственности используемых в подсистемах АС средств защиты информации. Схема управления средствами защиты на объектах (централизованная или децентрализованная). Инструкции по эксплуатации средств защиты информации.

5. Используемые физические средства защиты, соблюдение режимных требований, соответствие помещений, в которых осуществляется обработка информации ограниченного доступа, требованиям нормативных документов.

6. Документы, регламентирующие действия персонала при возникновении нештатных (аварийных ситуаций).

7. Документы по аттестации и категорированию компонентов и подсистем АС.

2. Разработать Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией. Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией

ОРГАНИЗАЦИЯ, именуемая в дальнейшем MYPROGSCOMPANY, в лице Есипенко Дмитрия Юрьевича _______________________________________________, с одной стороны, и _________________________________________________________, именуемый (-ая) в дальнейшем СЛУЖАЩИЙ, с другой стороны, заключили настоящее соглашение о том, что:

1. СЛУЖАЩЕМУ будет предоставлен доступ к конфиденциальным и другим защищаемым ОРГАНИЗАЦИЕЙ сведениям, необходимым ей для выполнения своих функциональных обязанностей (согласно занимаемой должности).

2. СЛУЖАЩИЙ обязуется:

• хранить тайну по операциям, счетам и вкладам ОРГАНИЗАЦИИ, ее клиентов и корреспондентов (банковскую тайну);

• во время работы в ОРГАНИЗАЦИИ и в течение 3-х лет после увольнения не раскрывать (не передавать) третьим лицам ставшие ему известными конфиденциальные (защищаемые ОРГАНИЗАЦИЕЙ) сведения (за исключением случаев привлечения последних к деятельности, требующей раскрытия такой информации и только в объеме, необходимом для реализации целей и задач ОРГАНИЗАЦИИ, с письменного разрешения руководства ОРГАНИЗАЦИИ);

• не использовать ставшие ему известными или разработанные им конфиденциальные сведения иначе, как в интересах ОРГАНИЗАЦИИ;

• соблюдать указанные в «Порядке обращения с информацией, подлежащей защите» требования и правила обеспечения информационной безопасности ОРГАНИЗАЦИИ;

• в случае прекращения работы в ОРГАНИЗАЦИИ, сразу же возвратить ОРГАНИЗАЦИИ все документы и другие материалы, содержание которых отнесено к конфиденциальной и иной защищаемой ОРГАНИЗАЦИЕЙ информации, полученные в ходе выполнения СЛУЖАЩИМ своих служебных обязанностей.

3. СЛУЖАЩИЙ подтверждает, что:

• он (она) ознакомлен(-а) с требованиями «Порядка обращения с информацией, подлежащей защите»;

• он (она) не имеет перед кем-либо никаких обязательств, которые входят в противоречие с настоящим соглашением или ограничивают его (ее) деятельность в ОРГАНИЗАЦИИ.

СЛУЖАЩИЙ

"____"_____________ 20 г.

3. Разработать Инструкцию по организации парольной защиты автоматизированной системы. Инструкция по организации парольной защиты

Данная инструкция призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников информационно-аналитического отдела (далее ИАО) - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

• длина пароля должна быть не менее установленной (обычно 6-8 символов);

• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

• при смене пароля новое значение должно отличаться от предыдущего не менее чем в заданном числе (например в 6-ти) позициях;

• личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников ИАО. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников ИАО, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений организации (исполнителей).

При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (ИАО).

Полная плановая смена паролей пользователей должна проводиться регулярно, например, не реже одного раза в месяц.

Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администраторами соответствующих средств защиты в соответствии с «Инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы» немедленно после окончания последнего сеанса работы данного пользователя с системой.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.

В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей (в зависимости от полномочий владельца скомпрометированного пароля).

Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory ).

Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль - возлагается на сотрудников ИАО - администраторов средств парольной защиты.

ЛБ 5

Для блокирования (парирования) случайных угроз безопасности информации в КС должен быть решен комплекс задач.